Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
23
Августа
2012
» Логика - Пила, счёт 0:1
В прошлом посте я написал об одном забавном аукционе, по документации которого поступило аж два запроса на разъяснение от потенциального участника. Ответы заказчика на справедливые, в общем-то, вопросы сильно походили на подготовленные заинтересованными в распиле очередного бюджета лицами. Аукцион должен был состоятся 23 августа в 10:00, но не состоялся. В качестве причины, по которой аукцион не состоялся, названо то, что “допущена только одна заявка”, а всего заявки подали три участника (разверните Лот №1, чтобы их увидеть): ЗАО «Актив-софт» ЗАО НТЦ «Специальные системы» ЗАО «Сириус» Актив-софт является разработчиком ключей Rutoken и, судя по всему, именно они и писали те самые понравившиеся мне запросы на разъяснение. Заявке Актив-софт в допуске было отказано. К сожалению, причины отказа не опубликованы (вернее, доступ к протоколу закрыт), но что-то мне подсказывает, что причиной послужило несоответствие тем самым требованиям о виртуальных Java-машинах. НТЦ Специальные системы - контора лично мне не известная. Судя по неактуализирующемуся сайту, обилию лицензий и открытой вакансии, занимаются специфической деятельностью по аттестации объектов. Роль их в данном аукционе туманна, но заявка тоже была отклонена. Единственный участник, чья заявка была признана соответствующей требованиям, - это Сириус, 100% акций которого владеет ООО “Интеллект Технолоджи”. Филиалы Сируса созданы в Краснодаре, Ростове-на-Дону, Владивостоке, Омске, Владикавказе, Волгограде, Саратове и Каспийске, а сама компания занимает 68 место в рейтинге CNews 100 2011 года. Про обратную же сторону одного из флагманов юга России лучше у коллег с Кубани спросить или вот тут почитать, если интересно. Вернёмся к аукциону. Итак, подано три заявки, две отклонили, аукцион не состоялся, так как действительно глупо проводить аукцион с одним участником и поэтому комиссия из 10 человек единодушно решила: 5.1. Признать заявку... «Сириус» соответствующей требованиям... 5.2. В течение четырех дней ... направить оператору электронной площадки проект государственного контракта.... ...при этом государственный контракт заключается на условиях, предусмотренных документацией ... по начальной (максимальной) цене..., что составляет - 3 107 321 рублей 20 копеек. В общем, как пел Андрей Миронов в роли Остапа Бендера: "Моих грехов разбор оставьте до поры. Вы оцените красоту игры!" Мы и оценили, господа: в документацию вписаны липовые требования, заявки двух из трёх участников отклонены и контракт заключён по начальной максимальной цене. Успешного вам осваивания ваших 20 копеек =) Изображение: http://demotivators.to
10
Августа
2012
» Как распильщики с логикой воюют или Подводный токен
Тему откатов и распилов в области информационной безопасности я уже как-то в своём блоге поднимал, но тема это такая, что сколько её ни поднимай, а новый повод всё равно находится чуть ли ни каждый день. Вот и сейчас привлёк моё внимание один Открытый аукцион в электронной форме на «Право заключения государственного контракта на поставку USB – ключей для нужд ФМС России». Контракт вполне себе не маленький 3 107 321,20 руб. (к примеру, если верить данным Росстата о прожиточном минимуме в России, на эти деньги 52 пенсионера могут прожить целый год). Документация к этому аукциону была размещена очень забавно. Если вы скачаете её по этой ссылке, то увидите, что выложена была не текстовая версия документа, а его копия в виде графического tif-файла(!). Хитро придумал представитель заказчика г-н П.Б.Жданов и его коллеги – сайт Госзакупки графические файлы ведь не индексирует, а значит “посторонние”, не знающие об этом конкурсе от “доверенных лиц”, даже расширенным поиском по ключевым словам его не найдут. Для индексации доступен был лишь вот этот малоинформативный документ с самой общей информацией. Так что аукцион разве что по “USB ключ” можно было отыскать. В самой конкурсной документации ключевых слов, естественно, гораздо больше, вот кто-то и придумал “подстраховаться”. Как обычно, самое интересное в документации – это Технические требования к поставляемым ключам. Вот они: Для удобства - ссылка на распознанные страницы 23-24 документа. USB-ключей, а тем более сертифицированных, вообще-то у нас и так немного, но в данном случае заказчик пошёл ещё дальше и в явном виде указал вполне себе конкретную модель. Убедиться в этом можно, например, поискав «Микросхема смарт-карты Atmel AT90SC25672RCT-USB (Atmel AT90SC25672R)» в Google или Яндексе. Вообще, конечно, надо отдать должное тому, кто готовил аукцион – всё же текст в технических требованиях не на 100% соответствует описанию на сайте поставщика, но факт ограничения конкуренции тем не менее очевиден. Очевиден настолько, что кто-то (предполагаю, что один из конкурентов) обратился в ФМС России с просьбой дать разъяснения. Полный список вопросов и те ответы, которые дал на них представитель заказчика С.И. Голиков приведены здесь. Вот краткая суть с моими комментариями: Вопрос 1.Для чего будут использоваться ключи и какая ОС используется? Ответ. Для использования ЭЦП в информационной системе ФМС, ОС Win 7 x32. Но на всякий случай впишем и MacOs и Linux Вопрос 2. Возможна ли поставка ключей, не построенных на базе Atmel AT905C25672RCT-USB (Atmel AT90SC25672R) и если нет, то почему? Без конкретного ответа, но внесены изменения в Технические требования. Да, слишком уж нагло прописали, не думали, видимо, что отсканированную документацию кто-то отыщет… Вопрос 3. Почему прописаны требования к наличию западных стандартов шифрования RSA 1024 / 2048, DES, 3DES, SHA-1? Ответ. Планируется использовать USB-ключи в том числе и для аутентификации в домене Windows с использованием технологии Smart Card Logon. В домен вообще-то можно и по ГОСТовым сертификатам входить – у КриптоПро даже решение отдельное для этого есть. Вопрос 4. Для чего в требования к сертификации указано дополнительное условие о наличии ОУД2? Без конкретного ответа, но внесены изменения в Технические требования. "Ладно-ладно, уберём – у нас и другие ограничения конкурентов прописаны". Вопрос 5. Совместимость с какими конкретно средствами криптографической защиты информации требуется? Ответ. Требуются сертификаты совместимости USB-ключа с СКЗИ "КриптоПро CSP" Какую юридическую силу имеют эти «сертификаты совместимости» - не очень понятно, но штука вроде модная, все их получают. Вопрос 6. Для чего требуется водонепроницаемость корпуса (стандарту IP Х8 - IEC 529 - Защита от воды при неограниченном времени погружения на определённую глубину). «ФМС России планирует использование USB-ключей в подводной среде?» =) (смайлик мой, цитата дословная) Без конкретного ответа, но внесены изменения в Технические требования. Может известному аквалангисту Макаревичу один ключ хотели подарить? =) Вопросы 7-8. Технические требования сокращают список возможных производителей до одного производителя. Вы сознательно нарушаете ст. 41.6, п. 1, Главы 3.1 и ст. 34, п. 3 и 3.1, Главы 3 Федерального закона №94-ФЗ? Допустима ли поставка других ключей с аналогичными по своей функциональности характеристиками? Ответ. По имеющейся у ФМС России информации, закупаемый товар, соответствующий характеристикам, установленным в документации об открытом аукционе в электронной форме производят целый ряд производителей. Весь рынок не в курсе, а ФМС знает целый ряд таких производителей, надо же… Обновлённая версия технических требований стала выглядеть вот так: Справедливость восторжествовала? Нет, конечно! Ведь будущий откат, наверняка, оговорён и попилен, или наоборот “серьёзным” людям “правильные” конверты ещё раньше занесли – не знаю, как там точно у них всё делается. Посмотрите, как ловко играют мошенники. Вроде бы убрали и микросхему Atmel AT905C25672RCT-USB (Atmel AT90SC25672R), и “подводный” стандарт IP Х8 - IEC 529 и объективно не нужный уровень доверия ОУД 2, но вписали “реализацию виртуальной машина Java (полностью совместимая со стандартом Sun Java Card)”. В общем, конкуренция всё также осталась ограниченной, какой бы там мифический ряд производителей ни был ФМС известен. Наш неизвестный борец за справедливость повторно обратился к ФМС за разъяснениями. Вопросы с ответами второго разъяснения полностью тут, а кратко с комментариями так: Вопрос 1. На российском рынке средств электронной подписи операционная система смарт-карты, включающая реализацию виртуальной машина Java (полностью совместимой со стандартом Sun Java Card), есть только в USB-ключах одного производителя. Просим разъяснить реальную и обоснованную необходимость в наличии указанного требования. Ответ. Государственная информационная система миграционного учёта (далее ГИСМУ), оператором которой является ФМС России, в качестве своей основной технологии реализации прикладной функциональности отдельных информационных систем входящих в состав ГИСМУ применяет технологию Java. В связи с этим, для целей реализации расширенной прикладной функциональности по обеспечению информационной безопасности информации, собираемой и обрабатываемой в ГИСМУ, нами было принято решение задействовать расширенные возможности современных электронных ключей для достижения указанных целей на основе применения в качестве программного компонента ряда информационных систем, входящих в состав ГИСМУ, апплетов, загружаемых и исполняющихся на электронных ключах. Ответ ФМС я привёл полностью из "любви к искусству": так и представляю себе чиновника, пишущего этот ответ про технологию Java, - долго, наверное, формулировки подбирал =) А по сути-то написан бред: Java в прикладной информационной системе и Java-апплеты в памяти ключа - это персонажи совсем из разных опер. А уж как там и что они в сертифицированный ключ собрались загружать – это я бы с удовольствием посмотрел. Крутые спецы в ФМС работают, ничего не скажешь . Вопрос 2. Какой объем СВОБОДНОЙ (т.е. доступной для пользователя) памяти USB-ключа необходим? Ответ. Не менее 64 КБ и не более 72 КБ. Ага, и ни килобайтом больше! Вопрос 3. Допускается ли использование носителей, поддерживающих технологию Smart Card Logon и алгоритмы RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1? Ответ. Допускается при выполнении всех требований документации. Отличный ответ: ненужные на самом деле требования можно не выполнять, если они выполнены. Вопрос 4. USB-ключи закупаются для ЭЦП, для чего необходимо использование интерфейсов SSL v3 и IPSec/IKE? Ответ. Доступ уполномоченных лиц в ФГИС ФМС России осуществляется, в том числе, посредством защищенного удаленного доступа с использованием протоколов SSL и IPSec/IKE, при этом аутентификация пользователей осуществляется посредством сертификатов ЭП. Не видел, конечно, я их систему, но как-то сомнительно. Вопрос 5. Требование наличия Microsoft CCID подразумевает использование USB-ключей без какого-либо дополнительного ПО, однако, по условиям сертификации ФСТЭК программно-аппаратного комплекса (ПАК) установка дополнительного ПО необходима. Возможна ли поставка решения, в соответствии с сертификацией которого, все необходимые для работы драйвера входят в состав сертифицированного программно-аппаратного комплекса? Комплектность поставляемого оборудования должна соответствовать требованиям, изложенным в формуляре на сертифицированное изделие. Требования по сертификации установлены в документации об открытом аукционе в электронной форме. Отписка, а не ответ по сути. Второе разъяснение было дано 01 августа и по его итогам изменения в Технические требования уже не вносились. С этой даты новых обновлений на сайте пока больше нет. Сам аукцион состоится 23.08.2012 в 11:30 – посмотрим, чем закончится эта история… [box type=”info” style=”rounded”]UPD. 23.08.2012 Чуда не произошло: Логика - Пила, счёт 0:1.[/box] Изображение: http://byaki.net/kartinki/7520-podvodnyjj_mir.html
02
Августа
2012
» Bitdefender USB Immunizer. Бесплатная защита компьютера от autorun вирусов.
Многие крупные компании имеют свои собственные Лаборатории - инкубаторы идей, в рамках которых реализуют разнообразные интересные проекты, связанные с основной деятельностью, но не включаемые в итоговые версии продуктов. Очень известен, например, Google Labs, закрытый, к сожалению, в октябре прошлого года. А вот аналогичная лаборатория от Bitdefender к нашей радости продолжает работать и радовать интересными и бесплатными для пользователей разработками. Сейчас у Bitdefender LABS 5 проектов: Mobile Security, Bitdefender Quickscan, Bitdefender TrafficLight, Bitdefender 4Blogs (beta) и USB Immunizer, который сегодня и хотел бы рассмотреть подробнее. USB Immunizer защищает флешки, карты памяти и внешние жёсткие диски от заражения их так называемыми autorun-вирусами, суть которых состоит в использовании механизма автозапуска исполняемых файлов в ОС Windows при подключении внешних носителей. Такой механизм, в частности, использовался червём Conficker, который размещал на заражённом устройстве файл автозапуска (autorun.inf), сконфигурированный так, что пользователю вместо имени исполняемого файла выводилось предложение просмотреть содержимое устройства с соответствующей иконкой: Интерфейс у программки лаконичный и по мне так очень симпатичный: Для иммунизации устройства достаточно подключить его к компьютеру и в окне программы нажать соответствующую иконку: Защищённые устройства отображаются зелёным цветом, незащищённые - красным: На защищённом устройстве создаётся файл autorun.inf, права на который заданы таким образом, что в среде Windows пользователь даже с правами администратора просто так его не сотрёт. Удалить файл можно только форматированием носителя или в другой операционной системе (Linux, MacOS). В настройках программы можно задать автоматическую иммунизацию всех подключаемых носителей: Иммунизированное устройство остаётся защищённым и при подключении к другим Windows-компьютерам, так что теперь можно будет с меньшей опаской давать флешки другим. Скачать дистрибутив можно здесь: http://labs.bitdefender.com/projects/usb-immunizer/overview/
27
Июля
2012
» Что делать, если сообщения iMessage приходят не с телефонного номера, а с почты?
Хорошая штука этот iMessage: когда у обоих собеседников iPhone, экономия на SMS и MMS колоссальная. Да вот только случилась у меня с ним беда: все мои сообщения приходили абонентам не от номера телефона, а как будто с адреса электронной почты. В настройках сообщений в разделе “Получать на …” было указано “Получать на Адресов: 2”, т.е. на адрес e-mail и номер телефона, написанный почему-то серым. Приходили сообщения нормально, а вот отправляться с номера телефона никак не хотели. На решение проблемы была убита куча времени, но в итоге решилось всё так. В настройках сообщений надо выйти из учётной записи Apple ID. После этого в “Получать на…” e-mail пропадает и все сообщения уходят и приходят только с номера телефона. Немного странное, конечно, решение, но хоть помогло.
25
Июля
2012
» ПП 313. Перевод с русского на русский.
Язык, которым пишут у нас законы, настолько замысловат, что порой требуется приложить существенные усилия, чтобы осмыслить даже 5-10 страничный документ. Конечно, когда глаз намётан и всё законодательство перечитано по несколько раз, то всё проще. Мне же, например, с нормотворчеством каждый день иметь дело не приходится, так что в относительно свежем «Положении о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…» пришлось хорошенько покопаться, чтобы выловить только суть.Предлагаю вашему вниманию вольный перевод означенного «Положения...» с языка юристов на язык общедоступный, подготовленный мной вместе с коллегами из NGS Distribution. Утвержден данный документ Постановлением правительства от 16 апреля 2012 г. №313 и оформлен в виде приложения к нему. C полным текстом Постановления можно ознакомиться на сайте Правительства РФ, а также в в справочно-правовых системах Консультант+ и Гарант (доступен по выходным или после 18:00). Постановление правительства №313 от 16.04.2012 from Alexey Komarov Изображение
23
Июля
2012
» Увольняющиеся vs увольняющие
Каждый работодатель, нанимая очередного сотрудника, вынужден делиться с ним теми или иными своими секретами и тайнами, даже если этого ему и не очень хочется. Некоторые рады бы и вовсе из-за угрозы разглашения закрытой информации ничем не делиться, но не получается. При этом обычно считается, что потенциальный ущерб от разглашения сотрудником известной ему внутренней информации о деятельности компании тем больше, чем выше занимаемая им должность. Хотя на самом деле даже нашему не такому большому ИБ рынку известны примеры, когда генеральные директора (особенно поставленные на должность в результате политических игр акционеров) в принципе не понимают, чем занимается их компания и как она работает. Ровно также сотрудники, не входящие в состав топ-менеджеров и не заседающие на советах директоров, порой являются ключевыми носителями тех или иных компетенций, критических для бизнеса компании. Бездумные руководители реальную роль таких сотрудников иногда даже не осознают, а то и вовсе сознательно принижают, например, из-за каких-то личных комплексов: чувствуют, что человек имеет огромный потенциал и является точкой приложения огромнейшего спектра сил, но в силу собственного скудоумия не в состоянии понять всех масштабов, а потому просто бесятся и ведут себя даже как-то неадекватно. Тем не менее, вне зависимости от занимаемой должности сотрудник рано или поздно может принять решение об увольнении. Вот тут-то и настаёт для работодателя час X. Лояльность сотрудников - вещь и так не особо просто измеряемая, а уж как быть с человеком, принявшим решение о смене места работы, и вовсе не ясно… Идеальной представляется ситуация, когда обе стороны садятся за стол переговоров и мирно обсуждают все щекотливые моменты, как то: премия за прошедший период, передача дел и пр. При этом работодатель прекрасно понимает, что все рабочие контакты, а равно опыт и знания, полученные сотрудником за время работы, уже никак из него не сотрёшь и чем комфортнее для работника пройдёт увольнение, тем в конечном итоге будет лучше для самой же компании (все ведь слышали истории про обиженных админов? - это пусть грубый, но яркий пример). Но, как уже упоминал выше, не все работодатели “одинаково полезны”, ровно, впрочем, как и сотрудники. Поэтому главный совет обеим сторонам - будьте доброжелательны и конструктивны, мир и так полон негатива, умерьте свои эмоции, ведь это просто бизнес и вовсе ни к чему портить личные отношения. Теперь что касается “уноса с собой базы данных”, так пугающего некоторых работодателей. Самое неумное из известных мне поведений заключалось в том, что сообщившего о своём увольнении сотрудника тут же лишили прав доступа ко всем информационным системам, да ещё и доменную учётную запись отключили - видимо, чтобы не навредил. Вернули, правда, очень быстро, так как выяснилось, что в отделе кадров даже оригинала подписанного заявления от сотрудника нет. Почему такое поведение я считаю глупым? Да потому, что когда бы работодатель ни узнал об уходе - сотрудник всё равно знает об этом раньше и если уж ему так захочется что-то скопировать или наоборот стереть, то он легко может сделать это заблаговременно. Если уж бороться с утечками, то это делать надо постоянно, а не тогда, когда уже “alea jacta est”. К тому же, отключение учётной записи можно расценивать как нарушение трудового законодательства, так как это создаёт препятствие для выполнение сотрудником своих трудовых обязанностей. Другой вопрос, что не каждый сотрудник найдёт в себе смелость спорить с работодателем, тем более что за тем обычно стоит целый отдел кадров, а то и вовсе департамент. Тем не менее, чтобы ни думал работодатель, но можно найти управу и на него. Во-первых, если организация хоть сколько-нибудь публичная, то должна дорожить своей репутацией, а значит потенциальный публичный рассказ всей некрасивой правды о ней можно использовать как инструмент воздействия. Как показывает практика, непорядочные работодатели побаиваются постов в соцсетях, блогах, форумах и на специализированных сайтах. Ну, и наконец, в каждом регионе существуют Государственные инспекции труда (трудовые инспекции), куда можно написать или позвонить. Хотя опять-таки порой может оказаться достаточно простого упоминания о том, что вы туда собираетесь обратиться, чтобы работодатель вернулся в русло законодательства, а то встречаются отдельные индивидуумы, при увольнении угрожающие чуть ли не физической расправой. Изображение: http://lolkot.ru/2012/07/10/otsutstviye-karernogo-rosta/
19
Июня
2012
» Как перестать быть инсайдером. Пример из жизни.
Механическая память – штука довольно сильная. Несмотря на расхожие истории про забытые после отпуска пароли, порой всё же привыкшие набирать одни и те же символы пальцы оказывают их обладателю медвежью услугу. Каждый год, например, в начале января, набирая дату, я неволей какое-то время пытаюсь присвоить ей год уходящий: 12 января 2011, “Backspace”, 2 Также по себе знаю, что сложно сразу привыкнуть к новому доменному имени в корпоративной почте, особенно после того, как написание «первая буква имени, точка, фамилия, собака, домен, точка ру» стало практически стандартом. Сменив не так давно место работы, я в очередной раз испытал все «прелести» от смены того, что идёт после собаки. Ситуация усугубилась ещё двумя аспектами: место работы сменили ещё несколько моих коллег, а на моём компьютере пару месяцев назад поселился отличный, в общем, плагин для Outlook – Xobni. Суть работы Xobni заключается в том, что он выискивает адреса электронной почты и телефоны в почте (Outlook, Gmail, Yahoo), мобильных устройствах (iPhone, Android, Blackberry) и социальных сетях (LinkedIn, Facebook, Twitter) и автоматически объединяет их в единый список контактов с удобным поиском, просмотром истории переписки и пр. Есть у Xobni (в PRO версии) и отличный сервис по автоматической подстановке контакта в поле ввода адреса Outlook, по нескольким буквам выводящий список: А вот сервиса по автоматеской смене основного e-mail адреса контакта, который Xobni и вставляет в поле адреса после выбора из списка, к сожалению, не оказалось. В итоге Xobni постоянно предлагал мне писать коллегам на старые адреса и приходилось вручную это исправлять, что по мере роста числа писем становилось всё сложнее и сложнее. Кончилось в итоге всё тем, что пару писем ушло-таки не туда. Кстати, по пришедшим «отбойникам» о невозможности отзыва сообщения удалось установить, кто теперь чью почту читает. Всегда казавшийся мне надуманным термин «непредумышленный инсайдер» обрёл наконец-таки реальное воплощение - в виде меня самого же =) Открывшаяся (ящики ведь точно читают!) возможность отправки дезинформации, конечно, подкупала, но вообще-то хотелось своеволие Xobni, подкреплённое человеческим фактором, как-то прекратить. Городить огород с DLP-системой особого смыла не было, придумывать другой метод записи корпоративных адресов тоже не хотелось, поэтому было найдено простое и незатейливое решение – создание соответствующего правила в Outlook. Правило проверяет все исходящие письма на наличие «недоверенных» доменов в адресе получателя, задерживает при совпадении отправку на 120 минут (больше Outlook не позволяет) и присваивает категорию !!!СТОП!!!. Для удобства отслеживания была создана соответствующая Папка поиска, отбирающая все письма с такой категорией, а сама эта папка была добавлена в Избранное. В результате теперь при случайной отправке в запасе есть два часа, чтобы заметить свою оплошность и отменить отправку письма: письмо остаётся в Исходящих и отображается в настроенной Папке поиска с таким же именем !!!СТОП!!!. Кстати, так получилось, что одновременно с настройкой правила все сложности с Xobni устранились (пришлось, правда некоторые контакты вручную отредактировать), но правило !!!СТОП!!! всё же пока пусть помаячит перед глазами в качестве наглядной агитации о необходимости соблюдения политик информационной безопасности =) Изображение: http://v-s-c.dreamwidth.org/164577.html
14
Июня
2012
» Сертифицированные межсетевые экраны (часть 5)
Очередная (предпредпоследняя) часть обзора сертифицированных ФСТЭК межсетевых экранов получилось достаточно большой, так что предлагаю запастись терпением. Сегодня познакомимся с LirVPN, FORT, WatchGuard Firebox, RSOS6850, UserGate Proxy & Firewall и Checkpoint. До написания данного обзора даже и не подозревал, что у компании ЛИССИ есть своё собственное решение для построения VPN-сетей под названием LirVPN. Насколько можно судить из описания, продукт представляет собой доработанные библиотеки OpenVPN, но степень доработки без детального тестирования оценить затруднительно. Строго говоря, поддержка сторонних криптобиблиотек (ГОСТ) в OpenVPN и так имеется, а вот их правильное «прикручивание» - вопрос, как это обычно со свободным ПО бывает, скорее всего не тривиальный. Кстати, OpenVPN распространяется под лицензией GNU GPL, так что можно смело требовать от ЛИССИ предоставления исходных кодов, как, например, это сделал КРИПТОКОМ для своего аналогичного продукта. Что же касается практического использования LirVPN именно как межсетевого экрана, то это вряд ли целесообразно, особенно если вам не нужна поддержка российской криптографии: OpenVPN всё же ориентирован больше на построение защищённых соединений. Та же ЛИССИ предлагает другое решение для межсетевого экранирования - FORT. Описание функционала МЭ «FORT» на сайте разработчика вчистую взято из соответствующего руководящего документа ФСТЭК, а именно из раздела «Требования к третьему классу защищенности МЭ». Текст практически дословный, что, конечно, достаточно забавно. Раз больше о продукте написать у разработчика ничего не нашлось, то, пожалуй, нет никакого смысла его использовать – любой сертифицированный межсетевой экран такого же класса точно умеет делать то же самое. Отмечу ещё, что МЭ «FORT» входит в состав программно-аппаратного комплекса «IP-Plug FW», который явно делался под конкретный проект. Кстати, в качестве заявителя при сертификации МЭ «FORT» указан ООО «Гарант-Телеком», не они ли и делали этот проект? Следующий сертифицированный межсетевой экран – WatchGuard Firebox компании WatchGuard, официальным дистрибутором которой на территории России является компания Rainbow Security. Последняя мне лично известна только своими успехами на ниве «маркетинга на грани фола» с достаточно агрессивным «обзвоном» партнёров и клиентов. С другой стороны, коллеги прекрасно знают своих конкурентов и активно предлагают переходить на красное, явно указывая конкурирующие модели. Не знаю, действительно ли такой подход работает на практике, но точно очень уж напоминает отдельные китайские компании с их нетленным: Для подбора партномеров оборудования MAIPU, функциональных аналогов оборудования CISCO, введите в поисковое окно партномер CISCO или его часть (не менее 4-х последовательных символов). А сам WatchGuard – продукт, видимо, неплохой, хотя ни в одном из серьёзных проектов встретить его пока не доводилось. Идём дальше. Сертифицированный как межсетевой экран продукт RSOS6850 является прежде всего коммутатором. Характеристики устройства выглядят впечатляюще и вполне современно, но всё же относятся больше именно к коммутаторам, чем к межсетевым экранам. Разработчик, ЗАО «Российская корпорация средств связи», судя по сайту, имеет серьёзную господдержку, а продукты свои разрабатывает с активным привлечением крупных мировых игроков. В описании РКСС говорится следующее: РКСС в сотрудничестве с мировыми лидерами ИТ-индустрии разрабатывает и производит на территории РФ сертифицированное телекоммуникационное оборудование с применением российских решений в области криптографии и шифрования. Производство ведется на предприятиях ГК «Ростехнологии», которые оснащены современным сборочным и измерительным оборудованием, системой контроля качества и обширной лабораторно-исследовательской базой. Казалось бы – отличный продукт, да ещё и российский. Смущает только, что он как две капли воды похож на Alcatel-Lucent OmniSwitch 6850. Так что, вопрос о том, что и где именно производится, остаётся несколько подвисшим в воздухе. Беглый поиск показывает, что RSOS6850 заказывают в Газпроме и многих государственных учреждениях. Цена, как можно примерно оценить по вот этому документу, составляет около 2-2,5 млн руб. Переходим к следующему продукту. В сотрудничестве с «АЛТЭКС-Софт», компания Entensys, имеющая офис разработки в Научном центре Новосибирска – Академгородке, выпустила в своё время сертифицированный межсетевой экран UserGate Proxy & Firewall 5.2.F. Сотрудников в компании Entensys «более 35 человек», а дата основания 2001 год, но, тем не менее, по количеству и, что ещё приятнее, качеству информационных материалов Entensys даст фору многим старожилам этого сегмента рынка. Сертифицированной версии посвящён специальный раздел сайта с исчерпывающим объёмом информации. Что мне ещё понравилось – сертификат получен не на соответствие ТУ (техническим условиям), а на выполнение требований задания по безопасности с оценочным уровнем доверия ОУД 2. Если упростить, то аналогия такая же как с ТУ и ГОСТ на колбасу: в ТУ можно написать всё, что угодно (теоретически по ТУ можно хоть вредоносное программное обеспечение сертифицировать), а вот сертификация по общим критериям – совсем другой, более современный и, если хотите, цивилизованный подход к сертификации средств защиты информации. Во всяком случае, именно такое представление сложилось у меня в ходе неоднократного общения с коллегами из ЦБИ. Так что именно такая сертификация (по ОУД) в данном случае вполне объяснима: да простят меня коллеги из ЦБИ, но их, АЛТЭКС-Софт, а равно и Профиль Защиты, я пока не очень различаю =). Теперь о грустном. Класс МЭ получен крайне низкий – МЭ4, что довольно трудно объяснить. Далее, заявлено, что «сертификационная поддержка UserGate Proxy & Firewall 5.2.F подразумевает возможность доступа к обновлениям дистрибутива, находящимся в специальной закрытой зоне», но сертифицирована по-прежнему версия 5.2 F, хотя текущая имеет номер уже 5.4. Наконец, крайне удручают коммерческие успехи неплохого, судя по всему, продукта. Конечно, доступа к реальным цифрам продаж у меня нет, но низкая раскрученность бренда, слабая представленность в тематических изданиях и на мероприятиях, а также анализ разделов форума на сайте и результатов запросов в поисковых системах складываются в общее впечатление, что обычный UserGate Proxy & Firewall в своём сегменте пользуется популярностью, а продвижение сертифицированного варианта было в своё время отдано на откуп компании АЛТЭКС-Софт, которая буквально ещё на прошлой неделе была указана на сайте как единственный дистрибутор сертифицированного продукта, но результатов, сколько-нибудь близких к фантастическим не добилась. Сейчас таким единоличным федеральным дистрибутором является Axoft, посмотрим, что получится у этой команды. Последний на сегодня игрок из списка – компания Checkpoint, разработчик вполне неплохих межсетевых экранов с мировым именем и тягой к регулярным маркетинговым преувеличениям. Первые единичные экземпляры (позже ограниченные партии ~20 штук) сертифицировались ещё с 2006 года, потом пошли и партии покрупнее до 200 экземпляров. В мае 2010 года был получен сертификат на 235 экземпляров Checkpoint UTM-1 Edge с версией ПО 8.0.37x на класс межсетевого экранирования МЭ4, да и то «при ограничениях в Формуляре». На распродажу этой небольшой, в общем-то, партии потребовалось, видимо, почти два года, но зато в феврале 2012 года был сертифицирован Checkpoint UTM-1 Edge N уже серией и по классу МЭ4 без указания на ограничения. Также формально продолжает действовать сертификат на 200 экземпляров Check Point FireWall-1/VPN-1 и некоторые другие сертификаты на небольшие партии устройств. В целом, глядя на все эти сертификаты, можно констатировать, что, несмотря на длительное присутствие Checkpoint на российском рынке, до недавнего времени данный вендор не был особенно активен в этом сегменте, хотя определённый интерес всё же проявлял. Возможно, что с учётом нынешней ситуации в области законодательного регулирования активности чуть прибавится. Сертифицированные межсетевые экраны из сегодняшнего обзора в таблицу добавлю в ближайшие дни. Впереди ещё как минимум две части обзора. Продолжение следует...
05
Июня
2012
» (Опрос) (Перевод) Обзор событий информационной безопасности от Fortinet
Сегодня вместо перевода очередного обзора событий информационной безопасности от компании Fortinet будет опрос, он размещён в правой колонке блога. Получив отличную практику по переводу английского текста с техническими терминами, вынужден всё же признать, что с точки зрения смысловой нагрузки посты были недостаточно наполнены. Отличная подборка важных событий за прошлую неделю - но не более. Вдумчивое чтение (а иначе ведь и не переведёшь =) ) всё же не выявило в блоге компании Fortinet никаких попыток анализировать события, ну или хотя бы как-то их комментировать: констатация фактов и только... С другой стороны, вполне допускаю, что кому-то такие переводы были полезны и просто так бросить начатое 7 недель назад единолично всё же не решаюсь. Поэтому вопрос к вам, дорогие читатели, была ли польза от этих переводов? Голосуйте, пожалуйста. Изображение: http://demotivators.to/media/posters/2334/601955_razminka-dlya-shei.jpg
31
Мая
2012
» (Перевод) Обзор событий информационной безопасности от Fortinet (21/2012)
Продолжая не любить слово «вредонос», но не придумав ему нравящейся альтернативы, продолжаю публикацию переводов еженедельного обзора событий информационной безопасности от компании Fortinet. Боеспособность сил киберпреступного мира была немного подорвана на прошлой неделе серией арестов, охвативших аудиторию от злоумышленников высокого уровня квалификации до начинающих хакеров, а исследователи, возможно, нашли способ борьбы с уязвимостью протокола SSL, из-за которой в прошлом году пострадали некоторые удостоверяющие центры (CA). Представляем обзор 21й недели 2012 года. Вредонос для Facebook вышел на охоту. В свете недавнего выхода на IPO крупнейшей социальной сети вполне не удивителен всплеск активности соответствующего вредоносного программного обеспечения, одна из версий которого теперь распространяется, невинно предлагая пользователям отказаться от использования своего аккаунта. Ведя себе вполне типично для фишинговых атак, новый вредонос для Facebook заманивает пользователей сообщением с ссылкой, по которой им предлагается перейти, чтобы якобы удалить свою учётную запись или подтвердить желание продолжать использовать социальную сеть. На самом деле ссылка в сообщении перенаправляет пользователя на вредоносный Java-апплет, который начинает надоедать сообщениями, требуя разрешить свой запуск, после чего выводит предупреждение об устаревании версии Adobe Flash и предлагает установить фиктивное обновление для него. После «обновления» вместе с мнимым чувством собственной защищённости пользователь получает на своей системе бэкдор, предоставляющий злоумышленнику полный удалённый доступ к компьютеру. Google снова патчит Chrome. Поисковый гигант Google в очередной раз повысил безопасность своего браузера Chrome, исправив 13 уязвимостей, две из которых считались критическими. В частности, одно из обновлений с самым высоким рейтингом критичности исправляет ошибку в работе браузера с кэшем, другие же решают проблемы неправильной работы с памятью при использовании WebSocket в протоколе SSL. Второе комплексное обновление Google на неделе включало в себя в общей сложности исправление девяти уязвимостей с рейтингом уровня опасности «высокий», на которые администраторам рекомендуется обратить внимание и присвоить высокий приоритет в очерёдности установки обновлений. Данные обновления исправили некоторые ошибки в плагине JavaScript, различных вариантах обработки PDF и некоторых других сценариях работы браузера. В последней версии Chrome также исправлены две уязвимости с рейтингом опасности «ниже среднего». Предложено решение проблемы «подмены сертификатов». На прошлой неделе исследователи Moxie Marlinspike и Trevor Perrin нашли способ противодействия атаке на протокол SSL, основанной на подмене цифровых сертификатов, предложив сайтам подписывать открытые ключи TLS-серверов (Transport Layer Security) с помощью ключей Trust Assertions for Certificate Keys (или TACK). Как правило клиент TLS проверяет открытый ключ сервера TLS с помощью цепочки сертификатов, выданных публичным удостоверяющим центром. Данный процесс, по сути, позволяет подключающемуся клиенту проверить открытый ключ сервера и «увязать» TLS-соединение с конкретным TLS-хостом. Однако в ходе проверки цепочки сертификатов могут возникнуть проблемы с теми TLS-серверами, для которых одновременно имеются несколько различных действующих цепочек сертификатов, которые к тому же могут в любой момент изменяться. Подписание открытого ключа TLS-сервера ключами TACK позволяет клиентам надежно «увязывать» имя хоста с ключом TACK, одновременно избавляя от сложностей, возникающих при использовании нескольких альтернативных цепочек сертификатов. Данные исследования были инициированы по причине серии атак на удостоверяющие центры, состоявшейся в прошлом году, когда даже такие известные компании как Google, Adobe и Microsoft были вынуждены отозвать сотни скомпрометированных сертификатов, выданных голландским удостоверяющим центром DigiNotar, взломанном в начале прошлого года. Данный взлом позволил злоумышленникам создавать поддельные удостоверяющие центры и с успехом применять атаки «человек посередине» против ничего неподозревающих пользователей. Инцидент в конечном итоге привёл к объявлению DigiNotar себя банкротом. Автор Bredolab отправлен в тюрьму. Арестованный на прошлой неделе в Армении создатель ботнета Bredolab в ближайшие четыре года вероятнее всего будет находиться в заключении. Автором ботнета оказался 27-летний гражданин России Георгий Аванесов, чей доход от незаконной кибердеятельности по оценкам составлял около $125 000 в год. Заразивший около 30 миллионов компьютеров по всему миру ботнет Bredolab известен своей причастностью к многочисленным атакам типа «отказ в обслуживании» (DDoS), мошенничествам с распространением поддельных антивирусов и огромному количеству разосланного спама. Ботнет расширялся за счёт инфицирования легитимных сайтов вредоносным кодом, использующим широкий спектр уязвимостей в браузерах для заражения компьютеров пользователей в фоновом «тихом» режиме. Ботнет также обманом завлекал пользователей на заражённые сайты фишинговыми сообщениями по электронной почте, в Facebook, Skype и Amazon. Мэр и его сын арестованы за хакерство. Мэр небольшого города Нью-Джерси (США) и его сын были арестованы по обвинению во взломе web-сайта оппонента, сообщает New York Times. Данное событие «расстроило» некоторых федеральных чиновников, посетовавших на то, что свои усилия мэру следовало бы направить против международных киберпреступников. Мэр города на западе штата Нью-Йорк 55-летний Феликс Роке и его 22-летний сын Иосиф были обвинены в совершении атаки на сайт recalroque.com, посвящённый критике деятельности мэра. Предполагается, что ими был осуществлён несанкционирован
В прошлом посте я написал об одном забавном аукционе, по документации которого поступило аж два запроса на разъяснение от потенциального участника. Ответы заказчика на справедливые, в общем-то, вопросы сильно походили на подготовленные заинтересованными в распиле очередного бюджета лицами. Аукцион должен был состоятся 23 августа в 10:00, но не состоялся. В качестве причины, по которой аукцион не состоялся, названо то, что “допущена только одна заявка”, а всего заявки подали три участника (разверните Лот №1, чтобы их увидеть): ЗАО «Актив-софт» ЗАО НТЦ «Специальные системы» ЗАО «Сириус» Актив-софт является разработчиком ключей Rutoken и, судя по всему, именно они и писали те самые понравившиеся мне запросы на разъяснение. Заявке Актив-софт в допуске было отказано. К сожалению, причины отказа не опубликованы (вернее, доступ к протоколу закрыт), но что-то мне подсказывает, что причиной послужило несоответствие тем самым требованиям о виртуальных Java-машинах. НТЦ Специальные системы - контора лично мне не известная. Судя по неактуализирующемуся сайту, обилию лицензий и открытой вакансии, занимаются специфической деятельностью по аттестации объектов. Роль их в данном аукционе туманна, но заявка тоже была отклонена. Единственный участник, чья заявка была признана соответствующей требованиям, - это Сириус, 100% акций которого владеет ООО “Интеллект Технолоджи”. Филиалы Сируса созданы в Краснодаре, Ростове-на-Дону, Владивостоке, Омске, Владикавказе, Волгограде, Саратове и Каспийске, а сама компания занимает 68 место в рейтинге CNews 100 2011 года. Про обратную же сторону одного из флагманов юга России лучше у коллег с Кубани спросить или вот тут почитать, если интересно. Вернёмся к аукциону. Итак, подано три заявки, две отклонили, аукцион не состоялся, так как действительно глупо проводить аукцион с одним участником и поэтому комиссия из 10 человек единодушно решила: 5.1. Признать заявку... «Сириус» соответствующей требованиям... 5.2. В течение четырех дней ... направить оператору электронной площадки проект государственного контракта.... ...при этом государственный контракт заключается на условиях, предусмотренных документацией ... по начальной (максимальной) цене..., что составляет - 3 107 321 рублей 20 копеек. В общем, как пел Андрей Миронов в роли Остапа Бендера: "Моих грехов разбор оставьте до поры. Вы оцените красоту игры!" Мы и оценили, господа: в документацию вписаны липовые требования, заявки двух из трёх участников отклонены и контракт заключён по начальной максимальной цене. Успешного вам осваивания ваших 20 копеек =) Изображение: http://demotivators.to
Тему откатов и распилов в области информационной безопасности я уже как-то в своём блоге поднимал, но тема это такая, что сколько её ни поднимай, а новый повод всё равно находится чуть ли ни каждый день. Вот и сейчас привлёк моё внимание один Открытый аукцион в электронной форме на «Право заключения государственного контракта на поставку USB – ключей для нужд ФМС России». Контракт вполне себе не маленький 3 107 321,20 руб. (к примеру, если верить данным Росстата о прожиточном минимуме в России, на эти деньги 52 пенсионера могут прожить целый год). Документация к этому аукциону была размещена очень забавно. Если вы скачаете её по этой ссылке, то увидите, что выложена была не текстовая версия документа, а его копия в виде графического tif-файла(!). Хитро придумал представитель заказчика г-н П.Б.Жданов и его коллеги – сайт Госзакупки графические файлы ведь не индексирует, а значит “посторонние”, не знающие об этом конкурсе от “доверенных лиц”, даже расширенным поиском по ключевым словам его не найдут. Для индексации доступен был лишь вот этот малоинформативный документ с самой общей информацией. Так что аукцион разве что по “USB ключ” можно было отыскать. В самой конкурсной документации ключевых слов, естественно, гораздо больше, вот кто-то и придумал “подстраховаться”. Как обычно, самое интересное в документации – это Технические требования к поставляемым ключам. Вот они: Для удобства - ссылка на распознанные страницы 23-24 документа. USB-ключей, а тем более сертифицированных, вообще-то у нас и так немного, но в данном случае заказчик пошёл ещё дальше и в явном виде указал вполне себе конкретную модель. Убедиться в этом можно, например, поискав «Микросхема смарт-карты Atmel AT90SC25672RCT-USB (Atmel AT90SC25672R)» в Google или Яндексе. Вообще, конечно, надо отдать должное тому, кто готовил аукцион – всё же текст в технических требованиях не на 100% соответствует описанию на сайте поставщика, но факт ограничения конкуренции тем не менее очевиден. Очевиден настолько, что кто-то (предполагаю, что один из конкурентов) обратился в ФМС России с просьбой дать разъяснения. Полный список вопросов и те ответы, которые дал на них представитель заказчика С.И. Голиков приведены здесь. Вот краткая суть с моими комментариями: Вопрос 1.Для чего будут использоваться ключи и какая ОС используется? Ответ. Для использования ЭЦП в информационной системе ФМС, ОС Win 7 x32. Но на всякий случай впишем и MacOs и Linux Вопрос 2. Возможна ли поставка ключей, не построенных на базе Atmel AT905C25672RCT-USB (Atmel AT90SC25672R) и если нет, то почему? Без конкретного ответа, но внесены изменения в Технические требования. Да, слишком уж нагло прописали, не думали, видимо, что отсканированную документацию кто-то отыщет… Вопрос 3. Почему прописаны требования к наличию западных стандартов шифрования RSA 1024 / 2048, DES, 3DES, SHA-1? Ответ. Планируется использовать USB-ключи в том числе и для аутентификации в домене Windows с использованием технологии Smart Card Logon. В домен вообще-то можно и по ГОСТовым сертификатам входить – у КриптоПро даже решение отдельное для этого есть. Вопрос 4. Для чего в требования к сертификации указано дополнительное условие о наличии ОУД2? Без конкретного ответа, но внесены изменения в Технические требования. "Ладно-ладно, уберём – у нас и другие ограничения конкурентов прописаны". Вопрос 5. Совместимость с какими конкретно средствами криптографической защиты информации требуется? Ответ. Требуются сертификаты совместимости USB-ключа с СКЗИ "КриптоПро CSP" Какую юридическую силу имеют эти «сертификаты совместимости» - не очень понятно, но штука вроде модная, все их получают. Вопрос 6. Для чего требуется водонепроницаемость корпуса (стандарту IP Х8 - IEC 529 - Защита от воды при неограниченном времени погружения на определённую глубину). «ФМС России планирует использование USB-ключей в подводной среде?» =) (смайлик мой, цитата дословная) Без конкретного ответа, но внесены изменения в Технические требования. Может известному аквалангисту Макаревичу один ключ хотели подарить? =) Вопросы 7-8. Технические требования сокращают список возможных производителей до одного производителя. Вы сознательно нарушаете ст. 41.6, п. 1, Главы 3.1 и ст. 34, п. 3 и 3.1, Главы 3 Федерального закона №94-ФЗ? Допустима ли поставка других ключей с аналогичными по своей функциональности характеристиками? Ответ. По имеющейся у ФМС России информации, закупаемый товар, соответствующий характеристикам, установленным в документации об открытом аукционе в электронной форме производят целый ряд производителей. Весь рынок не в курсе, а ФМС знает целый ряд таких производителей, надо же… Обновлённая версия технических требований стала выглядеть вот так: Справедливость восторжествовала? Нет, конечно! Ведь будущий откат, наверняка, оговорён и попилен, или наоборот “серьёзным” людям “правильные” конверты ещё раньше занесли – не знаю, как там точно у них всё делается. Посмотрите, как ловко играют мошенники. Вроде бы убрали и микросхему Atmel AT905C25672RCT-USB (Atmel AT90SC25672R), и “подводный” стандарт IP Х8 - IEC 529 и объективно не нужный уровень доверия ОУД 2, но вписали “реализацию виртуальной машина Java (полностью совместимая со стандартом Sun Java Card)”. В общем, конкуренция всё также осталась ограниченной, какой бы там мифический ряд производителей ни был ФМС известен. Наш неизвестный борец за справедливость повторно обратился к ФМС за разъяснениями. Вопросы с ответами второго разъяснения полностью тут, а кратко с комментариями так: Вопрос 1. На российском рынке средств электронной подписи операционная система смарт-карты, включающая реализацию виртуальной машина Java (полностью совместимой со стандартом Sun Java Card), есть только в USB-ключах одного производителя. Просим разъяснить реальную и обоснованную необходимость в наличии указанного требования. Ответ. Государственная информационная система миграционного учёта (далее ГИСМУ), оператором которой является ФМС России, в качестве своей основной технологии реализации прикладной функциональности отдельных информационных систем входящих в состав ГИСМУ применяет технологию Java. В связи с этим, для целей реализации расширенной прикладной функциональности по обеспечению информационной безопасности информации, собираемой и обрабатываемой в ГИСМУ, нами было принято решение задействовать расширенные возможности современных электронных ключей для достижения указанных целей на основе применения в качестве программного компонента ряда информационных систем, входящих в состав ГИСМУ, апплетов, загружаемых и исполняющихся на электронных ключах. Ответ ФМС я привёл полностью из "любви к искусству": так и представляю себе чиновника, пишущего этот ответ про технологию Java, - долго, наверное, формулировки подбирал =) А по сути-то написан бред: Java в прикладной информационной системе и Java-апплеты в памяти ключа - это персонажи совсем из разных опер. А уж как там и что они в сертифицированный ключ собрались загружать – это я бы с удовольствием посмотрел. Крутые спецы в ФМС работают, ничего не скажешь . Вопрос 2. Какой объем СВОБОДНОЙ (т.е. доступной для пользователя) памяти USB-ключа необходим? Ответ. Не менее 64 КБ и не более 72 КБ. Ага, и ни килобайтом больше! Вопрос 3. Допускается ли использование носителей, поддерживающих технологию Smart Card Logon и алгоритмы RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1? Ответ. Допускается при выполнении всех требований документации. Отличный ответ: ненужные на самом деле требования можно не выполнять, если они выполнены. Вопрос 4. USB-ключи закупаются для ЭЦП, для чего необходимо использование интерфейсов SSL v3 и IPSec/IKE? Ответ. Доступ уполномоченных лиц в ФГИС ФМС России осуществляется, в том числе, посредством защищенного удаленного доступа с использованием протоколов SSL и IPSec/IKE, при этом аутентификация пользователей осуществляется посредством сертификатов ЭП. Не видел, конечно, я их систему, но как-то сомнительно. Вопрос 5. Требование наличия Microsoft CCID подразумевает использование USB-ключей без какого-либо дополнительного ПО, однако, по условиям сертификации ФСТЭК программно-аппаратного комплекса (ПАК) установка дополнительного ПО необходима. Возможна ли поставка решения, в соответствии с сертификацией которого, все необходимые для работы драйвера входят в состав сертифицированного программно-аппаратного комплекса? Комплектность поставляемого оборудования должна соответствовать требованиям, изложенным в формуляре на сертифицированное изделие. Требования по сертификации установлены в документации об открытом аукционе в электронной форме. Отписка, а не ответ по сути. Второе разъяснение было дано 01 августа и по его итогам изменения в Технические требования уже не вносились. С этой даты новых обновлений на сайте пока больше нет. Сам аукцион состоится 23.08.2012 в 11:30 – посмотрим, чем закончится эта история… [box type=”info” style=”rounded”]UPD. 23.08.2012 Чуда не произошло: Логика - Пила, счёт 0:1.[/box] Изображение: http://byaki.net/kartinki/7520-podvodnyjj_mir.html
Многие крупные компании имеют свои собственные Лаборатории - инкубаторы идей, в рамках которых реализуют разнообразные интересные проекты, связанные с основной деятельностью, но не включаемые в итоговые версии продуктов. Очень известен, например, Google Labs, закрытый, к сожалению, в октябре прошлого года. А вот аналогичная лаборатория от Bitdefender к нашей радости продолжает работать и радовать интересными и бесплатными для пользователей разработками. Сейчас у Bitdefender LABS 5 проектов: Mobile Security, Bitdefender Quickscan, Bitdefender TrafficLight, Bitdefender 4Blogs (beta) и USB Immunizer, который сегодня и хотел бы рассмотреть подробнее. USB Immunizer защищает флешки, карты памяти и внешние жёсткие диски от заражения их так называемыми autorun-вирусами, суть которых состоит в использовании механизма автозапуска исполняемых файлов в ОС Windows при подключении внешних носителей. Такой механизм, в частности, использовался червём Conficker, который размещал на заражённом устройстве файл автозапуска (autorun.inf), сконфигурированный так, что пользователю вместо имени исполняемого файла выводилось предложение просмотреть содержимое устройства с соответствующей иконкой: Интерфейс у программки лаконичный и по мне так очень симпатичный: Для иммунизации устройства достаточно подключить его к компьютеру и в окне программы нажать соответствующую иконку: Защищённые устройства отображаются зелёным цветом, незащищённые - красным: На защищённом устройстве создаётся файл autorun.inf, права на который заданы таким образом, что в среде Windows пользователь даже с правами администратора просто так его не сотрёт. Удалить файл можно только форматированием носителя или в другой операционной системе (Linux, MacOS). В настройках программы можно задать автоматическую иммунизацию всех подключаемых носителей: Иммунизированное устройство остаётся защищённым и при подключении к другим Windows-компьютерам, так что теперь можно будет с меньшей опаской давать флешки другим. Скачать дистрибутив можно здесь: http://labs.bitdefender.com/projects/usb-immunizer/overview/
Хорошая штука этот iMessage: когда у обоих собеседников iPhone, экономия на SMS и MMS колоссальная. Да вот только случилась у меня с ним беда: все мои сообщения приходили абонентам не от номера телефона, а как будто с адреса электронной почты. В настройках сообщений в разделе “Получать на …” было указано “Получать на Адресов: 2”, т.е. на адрес e-mail и номер телефона, написанный почему-то серым. Приходили сообщения нормально, а вот отправляться с номера телефона никак не хотели. На решение проблемы была убита куча времени, но в итоге решилось всё так. В настройках сообщений надо выйти из учётной записи Apple ID. После этого в “Получать на…” e-mail пропадает и все сообщения уходят и приходят только с номера телефона. Немного странное, конечно, решение, но хоть помогло.
Язык, которым пишут у нас законы, настолько замысловат, что порой требуется приложить существенные усилия, чтобы осмыслить даже 5-10 страничный документ. Конечно, когда глаз намётан и всё законодательство перечитано по несколько раз, то всё проще. Мне же, например, с нормотворчеством каждый день иметь дело не приходится, так что в относительно свежем «Положении о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…» пришлось хорошенько покопаться, чтобы выловить только суть.Предлагаю вашему вниманию вольный перевод означенного «Положения...» с языка юристов на язык общедоступный, подготовленный мной вместе с коллегами из NGS Distribution. Утвержден данный документ Постановлением правительства от 16 апреля 2012 г. №313 и оформлен в виде приложения к нему. C полным текстом Постановления можно ознакомиться на сайте Правительства РФ, а также в в справочно-правовых системах Консультант+ и Гарант (доступен по выходным или после 18:00). Постановление правительства №313 от 16.04.2012 from Alexey Komarov Изображение
Каждый работодатель, нанимая очередного сотрудника, вынужден делиться с ним теми или иными своими секретами и тайнами, даже если этого ему и не очень хочется. Некоторые рады бы и вовсе из-за угрозы разглашения закрытой информации ничем не делиться, но не получается. При этом обычно считается, что потенциальный ущерб от разглашения сотрудником известной ему внутренней информации о деятельности компании тем больше, чем выше занимаемая им должность. Хотя на самом деле даже нашему не такому большому ИБ рынку известны примеры, когда генеральные директора (особенно поставленные на должность в результате политических игр акционеров) в принципе не понимают, чем занимается их компания и как она работает. Ровно также сотрудники, не входящие в состав топ-менеджеров и не заседающие на советах директоров, порой являются ключевыми носителями тех или иных компетенций, критических для бизнеса компании. Бездумные руководители реальную роль таких сотрудников иногда даже не осознают, а то и вовсе сознательно принижают, например, из-за каких-то личных комплексов: чувствуют, что человек имеет огромный потенциал и является точкой приложения огромнейшего спектра сил, но в силу собственного скудоумия не в состоянии понять всех масштабов, а потому просто бесятся и ведут себя даже как-то неадекватно. Тем не менее, вне зависимости от занимаемой должности сотрудник рано или поздно может принять решение об увольнении. Вот тут-то и настаёт для работодателя час X. Лояльность сотрудников - вещь и так не особо просто измеряемая, а уж как быть с человеком, принявшим решение о смене места работы, и вовсе не ясно… Идеальной представляется ситуация, когда обе стороны садятся за стол переговоров и мирно обсуждают все щекотливые моменты, как то: премия за прошедший период, передача дел и пр. При этом работодатель прекрасно понимает, что все рабочие контакты, а равно опыт и знания, полученные сотрудником за время работы, уже никак из него не сотрёшь и чем комфортнее для работника пройдёт увольнение, тем в конечном итоге будет лучше для самой же компании (все ведь слышали истории про обиженных админов? - это пусть грубый, но яркий пример). Но, как уже упоминал выше, не все работодатели “одинаково полезны”, ровно, впрочем, как и сотрудники. Поэтому главный совет обеим сторонам - будьте доброжелательны и конструктивны, мир и так полон негатива, умерьте свои эмоции, ведь это просто бизнес и вовсе ни к чему портить личные отношения. Теперь что касается “уноса с собой базы данных”, так пугающего некоторых работодателей. Самое неумное из известных мне поведений заключалось в том, что сообщившего о своём увольнении сотрудника тут же лишили прав доступа ко всем информационным системам, да ещё и доменную учётную запись отключили - видимо, чтобы не навредил. Вернули, правда, очень быстро, так как выяснилось, что в отделе кадров даже оригинала подписанного заявления от сотрудника нет. Почему такое поведение я считаю глупым? Да потому, что когда бы работодатель ни узнал об уходе - сотрудник всё равно знает об этом раньше и если уж ему так захочется что-то скопировать или наоборот стереть, то он легко может сделать это заблаговременно. Если уж бороться с утечками, то это делать надо постоянно, а не тогда, когда уже “alea jacta est”. К тому же, отключение учётной записи можно расценивать как нарушение трудового законодательства, так как это создаёт препятствие для выполнение сотрудником своих трудовых обязанностей. Другой вопрос, что не каждый сотрудник найдёт в себе смелость спорить с работодателем, тем более что за тем обычно стоит целый отдел кадров, а то и вовсе департамент. Тем не менее, чтобы ни думал работодатель, но можно найти управу и на него. Во-первых, если организация хоть сколько-нибудь публичная, то должна дорожить своей репутацией, а значит потенциальный публичный рассказ всей некрасивой правды о ней можно использовать как инструмент воздействия. Как показывает практика, непорядочные работодатели побаиваются постов в соцсетях, блогах, форумах и на специализированных сайтах. Ну, и наконец, в каждом регионе существуют Государственные инспекции труда (трудовые инспекции), куда можно написать или позвонить. Хотя опять-таки порой может оказаться достаточно простого упоминания о том, что вы туда собираетесь обратиться, чтобы работодатель вернулся в русло законодательства, а то встречаются отдельные индивидуумы, при увольнении угрожающие чуть ли не физической расправой. Изображение: http://lolkot.ru/2012/07/10/otsutstviye-karernogo-rosta/
Механическая память – штука довольно сильная. Несмотря на расхожие истории про забытые после отпуска пароли, порой всё же привыкшие набирать одни и те же символы пальцы оказывают их обладателю медвежью услугу. Каждый год, например, в начале января, набирая дату, я неволей какое-то время пытаюсь присвоить ей год уходящий: 12 января 2011, “Backspace”, 2 Также по себе знаю, что сложно сразу привыкнуть к новому доменному имени в корпоративной почте, особенно после того, как написание «первая буква имени, точка, фамилия, собака, домен, точка ру» стало практически стандартом. Сменив не так давно место работы, я в очередной раз испытал все «прелести» от смены того, что идёт после собаки. Ситуация усугубилась ещё двумя аспектами: место работы сменили ещё несколько моих коллег, а на моём компьютере пару месяцев назад поселился отличный, в общем, плагин для Outlook – Xobni. Суть работы Xobni заключается в том, что он выискивает адреса электронной почты и телефоны в почте (Outlook, Gmail, Yahoo), мобильных устройствах (iPhone, Android, Blackberry) и социальных сетях (LinkedIn, Facebook, Twitter) и автоматически объединяет их в единый список контактов с удобным поиском, просмотром истории переписки и пр. Есть у Xobni (в PRO версии) и отличный сервис по автоматической подстановке контакта в поле ввода адреса Outlook, по нескольким буквам выводящий список: А вот сервиса по автоматеской смене основного e-mail адреса контакта, который Xobni и вставляет в поле адреса после выбора из списка, к сожалению, не оказалось. В итоге Xobni постоянно предлагал мне писать коллегам на старые адреса и приходилось вручную это исправлять, что по мере роста числа писем становилось всё сложнее и сложнее. Кончилось в итоге всё тем, что пару писем ушло-таки не туда. Кстати, по пришедшим «отбойникам» о невозможности отзыва сообщения удалось установить, кто теперь чью почту читает. Всегда казавшийся мне надуманным термин «непредумышленный инсайдер» обрёл наконец-таки реальное воплощение - в виде меня самого же =) Открывшаяся (ящики ведь точно читают!) возможность отправки дезинформации, конечно, подкупала, но вообще-то хотелось своеволие Xobni, подкреплённое человеческим фактором, как-то прекратить. Городить огород с DLP-системой особого смыла не было, придумывать другой метод записи корпоративных адресов тоже не хотелось, поэтому было найдено простое и незатейливое решение – создание соответствующего правила в Outlook. Правило проверяет все исходящие письма на наличие «недоверенных» доменов в адресе получателя, задерживает при совпадении отправку на 120 минут (больше Outlook не позволяет) и присваивает категорию !!!СТОП!!!. Для удобства отслеживания была создана соответствующая Папка поиска, отбирающая все письма с такой категорией, а сама эта папка была добавлена в Избранное. В результате теперь при случайной отправке в запасе есть два часа, чтобы заметить свою оплошность и отменить отправку письма: письмо остаётся в Исходящих и отображается в настроенной Папке поиска с таким же именем !!!СТОП!!!. Кстати, так получилось, что одновременно с настройкой правила все сложности с Xobni устранились (пришлось, правда некоторые контакты вручную отредактировать), но правило !!!СТОП!!! всё же пока пусть помаячит перед глазами в качестве наглядной агитации о необходимости соблюдения политик информационной безопасности =) Изображение: http://v-s-c.dreamwidth.org/164577.html
Очередная (предпредпоследняя) часть обзора сертифицированных ФСТЭК межсетевых экранов получилось достаточно большой, так что предлагаю запастись терпением. Сегодня познакомимся с LirVPN, FORT, WatchGuard Firebox, RSOS6850, UserGate Proxy & Firewall и Checkpoint. До написания данного обзора даже и не подозревал, что у компании ЛИССИ есть своё собственное решение для построения VPN-сетей под названием LirVPN. Насколько можно судить из описания, продукт представляет собой доработанные библиотеки OpenVPN, но степень доработки без детального тестирования оценить затруднительно. Строго говоря, поддержка сторонних криптобиблиотек (ГОСТ) в OpenVPN и так имеется, а вот их правильное «прикручивание» - вопрос, как это обычно со свободным ПО бывает, скорее всего не тривиальный. Кстати, OpenVPN распространяется под лицензией GNU GPL, так что можно смело требовать от ЛИССИ предоставления исходных кодов, как, например, это сделал КРИПТОКОМ для своего аналогичного продукта. Что же касается практического использования LirVPN именно как межсетевого экрана, то это вряд ли целесообразно, особенно если вам не нужна поддержка российской криптографии: OpenVPN всё же ориентирован больше на построение защищённых соединений. Та же ЛИССИ предлагает другое решение для межсетевого экранирования - FORT. Описание функционала МЭ «FORT» на сайте разработчика вчистую взято из соответствующего руководящего документа ФСТЭК, а именно из раздела «Требования к третьему классу защищенности МЭ». Текст практически дословный, что, конечно, достаточно забавно. Раз больше о продукте написать у разработчика ничего не нашлось, то, пожалуй, нет никакого смысла его использовать – любой сертифицированный межсетевой экран такого же класса точно умеет делать то же самое. Отмечу ещё, что МЭ «FORT» входит в состав программно-аппаратного комплекса «IP-Plug FW», который явно делался под конкретный проект. Кстати, в качестве заявителя при сертификации МЭ «FORT» указан ООО «Гарант-Телеком», не они ли и делали этот проект? Следующий сертифицированный межсетевой экран – WatchGuard Firebox компании WatchGuard, официальным дистрибутором которой на территории России является компания Rainbow Security. Последняя мне лично известна только своими успехами на ниве «маркетинга на грани фола» с достаточно агрессивным «обзвоном» партнёров и клиентов. С другой стороны, коллеги прекрасно знают своих конкурентов и активно предлагают переходить на красное, явно указывая конкурирующие модели. Не знаю, действительно ли такой подход работает на практике, но точно очень уж напоминает отдельные китайские компании с их нетленным: Для подбора партномеров оборудования MAIPU, функциональных аналогов оборудования CISCO, введите в поисковое окно партномер CISCO или его часть (не менее 4-х последовательных символов). А сам WatchGuard – продукт, видимо, неплохой, хотя ни в одном из серьёзных проектов встретить его пока не доводилось. Идём дальше. Сертифицированный как межсетевой экран продукт RSOS6850 является прежде всего коммутатором. Характеристики устройства выглядят впечатляюще и вполне современно, но всё же относятся больше именно к коммутаторам, чем к межсетевым экранам. Разработчик, ЗАО «Российская корпорация средств связи», судя по сайту, имеет серьёзную господдержку, а продукты свои разрабатывает с активным привлечением крупных мировых игроков. В описании РКСС говорится следующее: РКСС в сотрудничестве с мировыми лидерами ИТ-индустрии разрабатывает и производит на территории РФ сертифицированное телекоммуникационное оборудование с применением российских решений в области криптографии и шифрования. Производство ведется на предприятиях ГК «Ростехнологии», которые оснащены современным сборочным и измерительным оборудованием, системой контроля качества и обширной лабораторно-исследовательской базой. Казалось бы – отличный продукт, да ещё и российский. Смущает только, что он как две капли воды похож на Alcatel-Lucent OmniSwitch 6850. Так что, вопрос о том, что и где именно производится, остаётся несколько подвисшим в воздухе. Беглый поиск показывает, что RSOS6850 заказывают в Газпроме и многих государственных учреждениях. Цена, как можно примерно оценить по вот этому документу, составляет около 2-2,5 млн руб. Переходим к следующему продукту. В сотрудничестве с «АЛТЭКС-Софт», компания Entensys, имеющая офис разработки в Научном центре Новосибирска – Академгородке, выпустила в своё время сертифицированный межсетевой экран UserGate Proxy & Firewall 5.2.F. Сотрудников в компании Entensys «более 35 человек», а дата основания 2001 год, но, тем не менее, по количеству и, что ещё приятнее, качеству информационных материалов Entensys даст фору многим старожилам этого сегмента рынка. Сертифицированной версии посвящён специальный раздел сайта с исчерпывающим объёмом информации. Что мне ещё понравилось – сертификат получен не на соответствие ТУ (техническим условиям), а на выполнение требований задания по безопасности с оценочным уровнем доверия ОУД 2. Если упростить, то аналогия такая же как с ТУ и ГОСТ на колбасу: в ТУ можно написать всё, что угодно (теоретически по ТУ можно хоть вредоносное программное обеспечение сертифицировать), а вот сертификация по общим критериям – совсем другой, более современный и, если хотите, цивилизованный подход к сертификации средств защиты информации. Во всяком случае, именно такое представление сложилось у меня в ходе неоднократного общения с коллегами из ЦБИ. Так что именно такая сертификация (по ОУД) в данном случае вполне объяснима: да простят меня коллеги из ЦБИ, но их, АЛТЭКС-Софт, а равно и Профиль Защиты, я пока не очень различаю =). Теперь о грустном. Класс МЭ получен крайне низкий – МЭ4, что довольно трудно объяснить. Далее, заявлено, что «сертификационная поддержка UserGate Proxy & Firewall 5.2.F подразумевает возможность доступа к обновлениям дистрибутива, находящимся в специальной закрытой зоне», но сертифицирована по-прежнему версия 5.2 F, хотя текущая имеет номер уже 5.4. Наконец, крайне удручают коммерческие успехи неплохого, судя по всему, продукта. Конечно, доступа к реальным цифрам продаж у меня нет, но низкая раскрученность бренда, слабая представленность в тематических изданиях и на мероприятиях, а также анализ разделов форума на сайте и результатов запросов в поисковых системах складываются в общее впечатление, что обычный UserGate Proxy & Firewall в своём сегменте пользуется популярностью, а продвижение сертифицированного варианта было в своё время отдано на откуп компании АЛТЭКС-Софт, которая буквально ещё на прошлой неделе была указана на сайте как единственный дистрибутор сертифицированного продукта, но результатов, сколько-нибудь близких к фантастическим не добилась. Сейчас таким единоличным федеральным дистрибутором является Axoft, посмотрим, что получится у этой команды. Последний на сегодня игрок из списка – компания Checkpoint, разработчик вполне неплохих межсетевых экранов с мировым именем и тягой к регулярным маркетинговым преувеличениям. Первые единичные экземпляры (позже ограниченные партии ~20 штук) сертифицировались ещё с 2006 года, потом пошли и партии покрупнее до 200 экземпляров. В мае 2010 года был получен сертификат на 235 экземпляров Checkpoint UTM-1 Edge с версией ПО 8.0.37x на класс межсетевого экранирования МЭ4, да и то «при ограничениях в Формуляре». На распродажу этой небольшой, в общем-то, партии потребовалось, видимо, почти два года, но зато в феврале 2012 года был сертифицирован Checkpoint UTM-1 Edge N уже серией и по классу МЭ4 без указания на ограничения. Также формально продолжает действовать сертификат на 200 экземпляров Check Point FireWall-1/VPN-1 и некоторые другие сертификаты на небольшие партии устройств. В целом, глядя на все эти сертификаты, можно констатировать, что, несмотря на длительное присутствие Checkpoint на российском рынке, до недавнего времени данный вендор не был особенно активен в этом сегменте, хотя определённый интерес всё же проявлял. Возможно, что с учётом нынешней ситуации в области законодательного регулирования активности чуть прибавится. Сертифицированные межсетевые экраны из сегодняшнего обзора в таблицу добавлю в ближайшие дни. Впереди ещё как минимум две части обзора. Продолжение следует...
Сегодня вместо перевода очередного обзора событий информационной безопасности от компании Fortinet будет опрос, он размещён в правой колонке блога. Получив отличную практику по переводу английского текста с техническими терминами, вынужден всё же признать, что с точки зрения смысловой нагрузки посты были недостаточно наполнены. Отличная подборка важных событий за прошлую неделю - но не более. Вдумчивое чтение (а иначе ведь и не переведёшь =) ) всё же не выявило в блоге компании Fortinet никаких попыток анализировать события, ну или хотя бы как-то их комментировать: констатация фактов и только... С другой стороны, вполне допускаю, что кому-то такие переводы были полезны и просто так бросить начатое 7 недель назад единолично всё же не решаюсь. Поэтому вопрос к вам, дорогие читатели, была ли польза от этих переводов? Голосуйте, пожалуйста. Изображение: http://demotivators.to/media/posters/2334/601955_razminka-dlya-shei.jpg
Продолжая не любить слово «вредонос», но не придумав ему нравящейся альтернативы, продолжаю публикацию переводов еженедельного обзора событий информационной безопасности от компании Fortinet. Боеспособность сил киберпреступного мира была немного подорвана на прошлой неделе серией арестов, охвативших аудиторию от злоумышленников высокого уровня квалификации до начинающих хакеров, а исследователи, возможно, нашли способ борьбы с уязвимостью протокола SSL, из-за которой в прошлом году пострадали некоторые удостоверяющие центры (CA). Представляем обзор 21й недели 2012 года. Вредонос для Facebook вышел на охоту. В свете недавнего выхода на IPO крупнейшей социальной сети вполне не удивителен всплеск активности соответствующего вредоносного программного обеспечения, одна из версий которого теперь распространяется, невинно предлагая пользователям отказаться от использования своего аккаунта. Ведя себе вполне типично для фишинговых атак, новый вредонос для Facebook заманивает пользователей сообщением с ссылкой, по которой им предлагается перейти, чтобы якобы удалить свою учётную запись или подтвердить желание продолжать использовать социальную сеть. На самом деле ссылка в сообщении перенаправляет пользователя на вредоносный Java-апплет, который начинает надоедать сообщениями, требуя разрешить свой запуск, после чего выводит предупреждение об устаревании версии Adobe Flash и предлагает установить фиктивное обновление для него. После «обновления» вместе с мнимым чувством собственной защищённости пользователь получает на своей системе бэкдор, предоставляющий злоумышленнику полный удалённый доступ к компьютеру. Google снова патчит Chrome. Поисковый гигант Google в очередной раз повысил безопасность своего браузера Chrome, исправив 13 уязвимостей, две из которых считались критическими. В частности, одно из обновлений с самым высоким рейтингом критичности исправляет ошибку в работе браузера с кэшем, другие же решают проблемы неправильной работы с памятью при использовании WebSocket в протоколе SSL. Второе комплексное обновление Google на неделе включало в себя в общей сложности исправление девяти уязвимостей с рейтингом уровня опасности «высокий», на которые администраторам рекомендуется обратить внимание и присвоить высокий приоритет в очерёдности установки обновлений. Данные обновления исправили некоторые ошибки в плагине JavaScript, различных вариантах обработки PDF и некоторых других сценариях работы браузера. В последней версии Chrome также исправлены две уязвимости с рейтингом опасности «ниже среднего». Предложено решение проблемы «подмены сертификатов». На прошлой неделе исследователи Moxie Marlinspike и Trevor Perrin нашли способ противодействия атаке на протокол SSL, основанной на подмене цифровых сертификатов, предложив сайтам подписывать открытые ключи TLS-серверов (Transport Layer Security) с помощью ключей Trust Assertions for Certificate Keys (или TACK). Как правило клиент TLS проверяет открытый ключ сервера TLS с помощью цепочки сертификатов, выданных публичным удостоверяющим центром. Данный процесс, по сути, позволяет подключающемуся клиенту проверить открытый ключ сервера и «увязать» TLS-соединение с конкретным TLS-хостом. Однако в ходе проверки цепочки сертификатов могут возникнуть проблемы с теми TLS-серверами, для которых одновременно имеются несколько различных действующих цепочек сертификатов, которые к тому же могут в любой момент изменяться. Подписание открытого ключа TLS-сервера ключами TACK позволяет клиентам надежно «увязывать» имя хоста с ключом TACK, одновременно избавляя от сложностей, возникающих при использовании нескольких альтернативных цепочек сертификатов. Данные исследования были инициированы по причине серии атак на удостоверяющие центры, состоявшейся в прошлом году, когда даже такие известные компании как Google, Adobe и Microsoft были вынуждены отозвать сотни скомпрометированных сертификатов, выданных голландским удостоверяющим центром DigiNotar, взломанном в начале прошлого года. Данный взлом позволил злоумышленникам создавать поддельные удостоверяющие центры и с успехом применять атаки «человек посередине» против ничего неподозревающих пользователей. Инцидент в конечном итоге привёл к объявлению DigiNotar себя банкротом. Автор Bredolab отправлен в тюрьму. Арестованный на прошлой неделе в Армении создатель ботнета Bredolab в ближайшие четыре года вероятнее всего будет находиться в заключении. Автором ботнета оказался 27-летний гражданин России Георгий Аванесов, чей доход от незаконной кибердеятельности по оценкам составлял около $125 000 в год. Заразивший около 30 миллионов компьютеров по всему миру ботнет Bredolab известен своей причастностью к многочисленным атакам типа «отказ в обслуживании» (DDoS), мошенничествам с распространением поддельных антивирусов и огромному количеству разосланного спама. Ботнет расширялся за счёт инфицирования легитимных сайтов вредоносным кодом, использующим широкий спектр уязвимостей в браузерах для заражения компьютеров пользователей в фоновом «тихом» режиме. Ботнет также обманом завлекал пользователей на заражённые сайты фишинговыми сообщениями по электронной почте, в Facebook, Skype и Amazon. Мэр и его сын арестованы за хакерство. Мэр небольшого города Нью-Джерси (США) и его сын были арестованы по обвинению во взломе web-сайта оппонента, сообщает New York Times. Данное событие «расстроило» некоторых федеральных чиновников, посетовавших на то, что свои усилия мэру следовало бы направить против международных киберпреступников. Мэр города на западе штата Нью-Йорк 55-летний Феликс Роке и его 22-летний сын Иосиф были обвинены в совершении атаки на сайт recalroque.com, посвящённый критике деятельности мэра. Предполагается, что ими был осуществлён несанкционирован